Citrix ADC

Aproveche el hardware y el software para mejorar el rendimiento de cifrado ECDHE y ECDSA

Nota:

Esta mejora solo se aplica a las siguientes plataformas:

  • MPX/SDX 11542
  • MPX/SDX 14000
  • MPX 22000, MPX 24000 y MPX 25000
  • MPX/SDX 14000 FIPS

Anteriormente, el cálculo ECDHE y ECDSA en un dispositivo Citrix ADC se realizaba únicamente en el hardware (chips Cavium), lo que limitaba el número de sesiones SSL en un momento dado. Con esta mejora, algunas operaciones también se realizan en el software. Es decir, el procesamiento se realiza tanto en los chips Cavium como en los núcleos de CPU para mejorar el rendimiento de cifrado ECDHE y ECDSA.

El procesamiento se realiza primero en software, hasta el umbral de cifrado de software configurado. Una vez alcanzado este umbral, las operaciones se descartan en el hardware. Por lo tanto, este modelo híbrido aprovecha tanto el hardware como el software para mejorar el rendimiento SSL. Puede habilitar el modelo híbrido configurando el parámetro “SoftwareCryptoThreshold” para que se adapte a sus necesidades. Para inhabilitar el modelo híbrido, establezca este parámetro en 0.

Los beneficios son mayores si la utilización actual de la CPU no es demasiado alta, porque el umbral de la CPU no es exclusivo del cálculo ECDHE y ECDSA. Por ejemplo, si la carga de trabajo actual del dispositivo Citrix ADC consume el 50% de los ciclos de CPU y el umbral se establece en el 80%, el cálculo ECDHE y ECDSA puede utilizar un 30% adicional de los ciclos. Una vez alcanzado el umbral de cifrado de software configurado del 80%, se descargó el cálculo ECDHE y ECDSA al hardware. En ese caso, la utilización real de la CPU podría superar el 80%, ya que realizar cálculos ECDHE y ECDSA en hardware consume algunos ciclos de CPU.

Habilitar el modelo híbrido mediante la CLI

En el símbolo del sistema, escriba:

set ssl parameter -softwareCryptoThreshold <positive_integer>

Synopsis:

softwareCryptoThreshold:

Citrix ADC CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.

Default = 0

Min = 0

Max = 100

Ejemplo:

set ssl parameter - softwareCryptoThreshold 80
Done

show ssl parameter
Advanced SSL Parameters

SSL quantum size                  : 8 KB
Max CRL memory size               : 256 MB
Strict CA checks                  : NO
Encryption trigger timeout        : 100 ms
Send Close-Notify                 : YES
Encryption trigger packet c       : 45
Deny SSL Renegotiation            : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size                   : 10 MB
Push flag                         : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout   : 1 ms
Crypto Device Disable Limit       : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile                   : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors    : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL

Habilite el modelo híbrido mediante la interfaz gráfica de usuario

  1. Vaya a Traffic Management > SSL > Cambiar la configuración avanzada de SSL.
  2. Introduzca un valor para Umbral de cifrado de software (%).

Establecer una alarma SNMP para el tipo de cambio ECDHE

El intercambio de claves basado en ECDHE puede provocar la caída de las transacciones por segundo en el dispositivo. Desde la versión 13.0 compilación 52.x, puede configurar una alarma SNMP para transacciones basadas en ECDHE. En esta alarma, puede establecer el umbral y los límites normales para el tipo de cambio ECDHE. Se agrega un nuevo contadornsssl_tot_sslInfo_ECDHE_Tx. Este contador es la suma de todos los contadores de transacciones basados en ECDHE en el front-end y back-end del dispositivo. Cuando el intercambio de claves basado en ECDHE cruza los límites configurados, se envía una captura SNMP. Se envía otra trampa cuando el valor vuelve al valor normal configurado.

Establecer una alarma SNMP para el tipo de cambio ECDHE mediante la CLI

En el símbolo del sistema, escriba:

set snmp alarm ECDHE-EXCHANGE-RATE -logging ( ENABLED | DISABLED ) -severity <severity>
 -state ( ENABLED | DISABLED ) -thresholdValue <positive_integer>  [-normalValue <positive_integer>] -time <secs>

Ejemplo:

set snmp alarm ECDHE-EXCHANGE-RATE -logging eNABLED -severity critical -state eNABLED -thresholdValue 100 -normalValue 50

Aproveche el hardware y el software para mejorar el rendimiento de cifrado ECDHE y ECDSA